针对 Azure Bastion 设计体系结构
Azure Bastion 提供多个部署体系结构,具体取决于所选 SKU 和选项配置。 对于大多数 SKU,Bastion 部署到虚拟网络并支持虚拟网络对等互连。 具体而言,Azure Bastion 管理 RDP/SSH 与在本地或对等虚拟网络中创建的 VM 之间的连接。
RDP 和 SSH 是连接 Azure 中运行的工作负载的基本方法。 不要通过 Internet 公开 RDP/SSH 端口,这被视为一个严重的威胁面。 这通常是由于协议漏洞造成的。 若要包含此威胁面,可以在外围网络的公共端部署 bastion 主机(也称为跳转服务器)。 Bastion 主机服务器在设计和配置上考虑了抵御攻击。 Bastion 服务器还为位于堡垒主机后方以及网络内部深处的工作负载提供 RDP 和 SSH 连接。
您在部署 Bastion 时选择的 SKU 决定了相应的体系结构以及可用的功能。 你可以升级到更高等级的 SKU 以支持更多功能,但您不能在部署后对 SKU 进行降级。 某些体系结构,例如仅专用以及开发人员 SKU,必须在部署时进行配置。
部署 - 基本和更高等级的 SKU
若选择基本或更高等级的 SKU,Bastion 会使用以下体系结构和工作流程。
- 堡垒主机部署在虚拟网络中,该网络包含具有最小 /26 前缀的 AzureBastionSubnet 子网。
- 用户可以使用任何 HTML5 浏览器访问 Microsoft Azure 门户并选择需要连接的虚拟机。 Azure 虚拟机不需要有公共 IP 地址。
- 只需单击一下,即可在浏览器中打开 RDP/SSH 会话。
对于某些配置,用户可通过本机操作系统客户端连接到虚拟机。
有关配置步骤,请参阅: